NTFS, partage et sécurité - Windows & Software
Marsh Posté le 11-01-2006 à 11:46:48
j'ai lu rapidement, mais ce qui semble ennuyeux ce sont les sous-dossiers, et les problèmes liés à l'héritage des droits ntfs.
je déconseilles fortement de faire :
dossier 1 --> droit pour xyz
dossier 1.1 -->droit pour yz
dossiers 1.1.1 --> droits pour wxz
en effet à chaque modif de dossier 1 ( si tu actives l'héritage) tous les droits des dossiers enfant seront changer.
le plus propres est donc de faire une arboressence "linéaire" c'est a dire
dossier 1
dossier 2 ( ex 1.1)
dossier3 (ex 1.1.1)
avec chacun des droits particulier. si tes utilisateurs tiquent, tu leur mets des racourcis vers les nouveaux dossiers (à la place des dossiers eu-mêmes).
Marsh Posté le 11-01-2006 à 15:08:30
Merci Chailloug...
Tu as raison et je suis tout à fait d'accord sur le principe.
Seulement avec 10 repertoires minimum sur 3 services différents, cela nous fait 30 répértoires partagés et c'est dur de leur faire comprendre qu'ils vont avoir devant les yeux 100 répértoires en même temps.
En fait, j'ai basé ma solution sur l'héritage bloqué au niveau +1 => la fameuse case à cocher qui dit "Apply these permissions to objects and/or containers within this container"
Cela permet en fait de donner l'accés à n'importe quel utilisateur pour qu'il puisse uniquement voir le répértoire partagé et ce qu'il y a dedans (sous-répértoire direct et fichiers directs) sans aucune possibilité de détruire.
Par contre, et là je ne comprends pas trop le truc... avec mon système je ne peux bloquer le déplacement ou la destruction de ce fameux sous repertoire [Dossier1.1] si par mégarde une personne fait un drag&drop sans le faire express de ce répértoire vers un autre ou si il demande sa destuction. Il efface ou déplace tout ce qu'il y a dedans à part qu'à la fin comme j'ai bloqué ce sous répértoire, j'ai le message du style "je ne peux detruire ce repertoire" ou "je ne peux deplacer ce repertoire" et le pauvre reste à sa place initiale mais vide de son contenu.
Et ça ca m'embete.... je ne sais que faire....
Peanuts
Marsh Posté le 11-01-2006 à 15:56:02
désolé mais je pense pas que tu ai beaucoup de solution. La meilleur pour toi, serait de remettre en cause la façons de travailler de tes collègues et donc de refondre complêtement l'architecture de l'arboressence ... mais bon si tu le proposes il y a de fortes chances que tu te fasses crucifier sur place.
Paix à ton âme.
Marsh Posté le 11-01-2006 à 16:32:51
remettre en cause... ca va être dur...
j'y reflechis cette nuit et je te lance une reflexion demain si tu es d'accord?
merci
peanuts
Marsh Posté le 11-01-2006 à 10:48:40
Bonjour,
Je ne sais plus ou donner de la tête... j'ai un Serveur de fichier DELL : un NAS donc avec un windows 2000 server diminué... et je m'en sers princialement comme gestionnaire de fichiers...
Problème : quels droits donner aux utilisateurs qui doivent se connecter sur ce NAS sur un répértoire partagé sachant qu'ils ne peuvent ni écrire ni modifier ni supprimer les 2 premiers niveaux de l'arborescence partagé et qu'après selon le répértoire de niveau 2, ils ont différents droits
Dans l'exemple :
- Dossier1 est partagé, ils ne peuvent ni ajouter, ni supprimer, ni renommer un quelconque répértoire ou fichier dans ce répértoire.
- Dossier1.1 est donc visible, non supprimable et non renommable. A l'interieur de celui-ci, ils peuvent faire ce qu'ils veulent (ajout, modif, suppression de tout fichier ou répértoire)
- Dossier1.2 est donc visible, non supprimable et non renommable. A l'interieur de celui-ci, ils ne peuvent que lire.
En fait j'ai procédé comme ci-dessous et j'attends que quelqu'un me dise si c'est une bonne methode ou si c'est n'importe quoi
exemple pour un utilisateur UTIL
pour [Dossier1]
Partage en Controle Totale + Lecture + Ecriture
Securité en permissions avancées avec pour ce dossier + les repertoires fils et les fichiers fils strictement inclus dans le dossier (donc de niveau 1.x)
- autorisation de Parcourir le dossier/Executer le fichier
- autorisation de Liste du dossier/Lecture des données
- interdiction de Duppression de sous-dossiers et de fichiers
- interdiction de Supprimer
Les dossiers dessous héritent des Permissions
d'où pour [Dossier1.1], les permissions sur les sous-repertoires de [Dossier1] deviennent des permissions pour le répertoire en cours (grace à l'heritage)
J'ai par contre pour [Dossier1.1] défini en + les permissions aux sous repertoires et fichiers en lui donnant tous les droits sauf "lecture et changement de permissions" et "droit d'en prendre possession"
J'ai aussi au niveau du [Dossier1.1] dit qu'il a droit à "Création de dossier/Ajout de données" du dossier actuel, et j'ai (pour qu'il puisse modifier le nom de ce repertoire) du mettre "Création de fichiers/ Ecriture de données".
Est ce la bonne methode....
Ca a l'air mais qu'en pensez-vous?
Et j'ai peur que si je lui donne plus de droit ca recommence à merder de partout en ayant donner trop de droit
Peanuts... (si je ne suis pas assez clair demandez moi)